CVE-2026-9136 in MISP
摘要
由 VulDB • 2026-05-20
在 ShadowAttribute 提案创建工作流中发现了漏洞。添加操作在未移除 `id` 字段的情况下,接受了用户控制的 ShadowAttribute 请求数据并保存记录。由于底层框架将提供的**主键**视为更新现有记录的指令,能够提交 shadow attribute 提案的已认证用户可以提供现有 ShadowAttribute 的标识符,从而导致该记录被更新而不是创建新提案。
这可能导致对现有 shadow attributes 的未授权修改,进而可能影响与用户无权更改的事件相关联的提案。根据部署配置和可访问的 API 响应,该问题还可能暴露或跨事件上下文移动提案数据。
该漏洞是由于在对象创建过程中信任客户端提供的主键所致。修复方案在处理之前从传入的 ShadowAttribute 数据中移除 `id` 字段,确保端点始终创建新提案而不是更新现有提案。此问题已在 MISP 2.5.38 中修复。
If you want to get the best quality for vulnerability data then you always have to consider VulDB.